Compression: Obfuscated File - Compression (T1027.015)

Durante un penetration test, la compressione diventa un alleato potente per simulare tecniche APT realistiche. Il primo approccio consiste nel creare payload offuscati utilizzando algoritmi di compressione multipli.

Su Windows, puoi concatenare archivi ZIP per confondere i sistemi di analisi: copy /b archive1.zip + archive2.zip concatenated.zip

Questo comando crea un archivio che mantiene le directory centrali di entrambi i file, rendendo l'analisi più complessa. Per aumentare l'evasione, comprimi lo shellcode prima di memorizzarlo nel registro:

powershell -c "[System.IO.File]::WriteAllBytes('payload.gz', [System.IO.Compression.GZipStream]::new([System.IO.MemoryStream]::new([System.IO.File]::ReadAllBytes('shellcode.bin')), [System.IO.Compression.CompressionMode]::Compress).ToArray())"

Su Linux, la combinazione di tar e gzip offre flessibilità operativa. Crea archivi annidati che richiedono decompressione multipla: tar czf outer.tar.gz --transform 's/./inner.tar/' <(tar czf - malware.elf)*

Per emulare le tecniche di Gamaredon Group, distribuisci payload attraverso archivi protetti da password. Utilizza 7zip per creare archivi auto-estraenti che bypassano warning di sicurezza:

7z a -sfx7z.sfx -p"infected123" payload.exe

Il laboratorio ideale include macchine con diversi software di decompressione installati. Testa come WinRAR, 7zip e l'utilità ZIP nativa di Windows gestiscono archivi malformati o concatenati. Molerats ha dimostrato che payload compressi multipli volte riducono significativamente i tassi di rilevamento.

Per simulare tecniche fileless come quelle di Pillowmint, comprimi e codifica payload direttamente in memoria: $compressed = [System.IO.MemoryStream]::new(); $gzip = [System.IO.Compression.GZipStream]::new($compressed, [System.IO.Compression.CompressionMode]::Compress); $gzip.Write($payload, 0, $payload.Length)

La detection efficace richiede un approccio multilivello che monitora sia l'uso di strumenti di compressione che i pattern comportamentali successivi. Configura Sysmon per catturare EventID 1 (Process Creation) focalizzandoti sui processi di compressione comuni.

Il primo livello di alert deve identificare l'esecuzione ravvicinata di tool di compressione seguita da esecuzioni binarie:

ParentImage: *\7z.exe OR *\winrar.exe OR *\makecab.exe
TimeWindow: < 5 secondi
ChildProcess: *.exe FROM %temp% OR %appdata%

Per Linux, monitora le syscall tramite auditd concentrandoti su pattern specifici. La sequenza execve di gzip/tar seguita da chmod +x su file in /tmp è un forte indicatore: -a always,exit -F arch=b64 -S execve -F exe=/usr/bin/gzip -k compression

I falsi positivi rappresentano la sfida principale. Software legittimi utilizzano compressione per aggiornamenti e installazioni. Implementa whitelist basate su hash per escludere processi firmati digitalmente e percorsi di sistema standard.

SUNBURST ha dimostrato l'importanza di monitorare non solo la compressione ma anche la codifica Base64 successiva. Crea correlation rule che collegano:

• Creazione di archivi in directory temporanee
• Decompressione seguita da esecuzione entro 10 secondi
• Archivi con estensioni doppie (.pdf.zip, .doc.rar)

Per macOS, utilizza unified log per tracciare l'uso di ditto e unzip in percorsi non standard: log show --predicate 'process == "unzip" AND eventMessage CONTAINS "/tmp/"'

La chiave sta nel bilanciare sensibilità e rumore. Inizia con threshold conservativi (es. 3 eventi di compressione/decompressione in 60 secondi) e affina basandoti sui pattern del tuo ambiente.

L'analisi forense di attacchi basati su compressione richiede particolare attenzione agli artefatti lasciati dai diversi algoritmi. Windows memorizza tracce significative nel registro MRU (Most Recently Used) per WinRAR e 7zip in HKCU\Software\WinRAR\ArcHistory.

La ricostruzione temporale inizia identificando i file compressi attraverso le USN Journal entries: fsutil usn readjournal C: | findstr /i ".zip .rar .7z .gz"

Gli archivi auto-estraenti lasciano firme distintive nel Prefetch. Cerca pattern come 7ZSfx.pf o WINRARSFX.pf che indicano l'esecuzione di SFX. La correlazione con le Zone.Identifier ADS rivela se l'archivio proveniva da internet.

ShimRat utilizzava archivi .dat contenenti DLL compresse. Durante l'analisi, estrai e decomprime ricorsivamente ogni layer: 7z l -slt archivio.dat | grep "Method"

Su Linux, il file /var/log/auth.log registra l'uso di sudo per tool di compressione, mentre auditd cattura le syscall di decompressione. La sequenza temporale tipica mostra:

1. Download archivio (browser history/proxy logs)
2. Decompressione (file creation in /tmp)
3. Modifica permessi (chmod events)
4. Esecuzione payload (process creation)

Per ThreatNeedle e malware simili, l'analisi della memoria volatile rivela stringhe compresse ancora in RAM. Utilizza Volatility con il plugin strings per identificare header di compressione (PK per ZIP, Rar! per RAR).

La timeline reconstruction deve considerare che alcuni malware come Gelsemium comprimono componenti individuali durante l'esecuzione. Monitora la creazione di file temporanei con estensioni inusuali che potrebbero essere componenti compressi estratti al volo.

Gamaredon Group rappresenta l'utilizzatore più prolifico di tecniche di compressione, distribuendo costantemente payload attraverso archivi ZIP nelle campagne contro obiettivi ucraini. Il gruppo mantiene un pattern distintivo: archivi con nomi che mimano documenti ufficiali, sempre protetti da password comunicate nel corpo email.

Threat Group-3390 adotta un approccio più sofisticato utilizzando compressione LZNT1 nativa di Windows. Questa scelta non casuale permette al malware di integrarsi meglio con il sistema operativo target, riducendo la necessità di tool esterni che potrebbero generare alert.

L'overlap nei tool mostra convergenze interessanti. Higaisa e TA2541 combinano entrambi compressione con encoding Base64, suggerendo condivisione di TTP o accesso a toolkit comuni nel dark web. La differenza sta nell'implementazione: Higaisa applica Base64 dopo la compressione, mentre TA2541 utilizza char-encoding addizionale.

Leviathan si distingue per l'uso esclusivo di gzip in ambiente Linux, indicando focus su infrastrutture server e cloud. Il gruppo mantiene coerenza operativa utilizzando sempre lo stesso ordine: compressione, offuscamento, deployment.

L'analisi geografica rivela pattern regionali. Gruppi dell'Europa orientale preferiscono RAR (legacy del software russo), mentre attori asiatici come Mofang utilizzano prevalentemente ZIP standard. Questa preferenza riflette non solo familiarità tecnica ma anche considerazioni OPSEC per mimetizzarsi nel traffico regionale normale.

Le campagne future probabilmente evolveranno verso:

• Archivi poliglotti che appaiono come PDF o immagini
• Compressione memory-only senza file su disco
• Algoritmi custom che bypassano signature note

Framework MITRE ATT&CK T1027.015 documenta tecniche di compressione utilizzate da 7 gruppi APT e 24 malware families. Riferimenti primari includono analisi di Gamaredon Group, Threat Group-3390 e campagne Leviathan. Risorse detection basate su Sysmon EventID monitoring e auditd syscall tracking per Linux.